GitHub эълон кард, ки анборҳои NPM аутентификатсияи ду-омилро барои 100 бастаи NPM, ки ҳамчун вобастагӣ ба шумораи зиёди бастаҳо дохил мешаванд, имкон медиҳанд. Нигоҳдорони ин бастаҳо акнун танҳо пас аз фаъолсозии аутентификатсияи ду-омил, ки тасдиқи воридшавӣ бо истифода аз паролҳои якдафъаина (TOTP) аз ҷониби замимаҳо ба монанди Authy, Google Authenticator ва FreeOTP тавлид мешаванд, метавонанд амалиёти репозитории тасдиқшударо иҷро кунанд. Дар ояндаи наздик, ба ғайр аз TOTP, онҳо нақша доранд, ки қобилияти истифодаи калидҳои сахтафзор ва сканерҳои биометриро, ки протоколи WebAuth-ро дастгирӣ мекунанд, илова кунанд.
1 март ба нақша гирифта шудааст, ки ҳамаи ҳисобҳои NPM, ки аутентификатсияи ду-омил надоранд, барои истифодаи санҷиши васеъи ҳисоб, ки ҳангоми кӯшиши ворид шудан ба npmjs.com ворид кардани рамзи якдафъаинаи тавассути почтаи электронӣ фиристодашуда талаб карда мешавад. амалиёт дар утилитаи npm. Вақте ки аутентификатсияи ду-омилӣ фаъол карда мешавад, санҷиши васеътари почтаи электронӣ татбиқ карда намешавад. Рӯзҳои 16 ва 13 феврал озмоиши муваққатии санҷиши васеъ барои ҳама ҳисобҳо барои як рӯз гузаронида мешавад.
Дар хотир дорем, ки тибқи як тадқиқоте, ки дар соли 2020 гузаронида шудааст, танҳо 9.27% нигоҳдорони бастаҳо барои ҳифзи дастрасӣ аз аутентификатсияи ду-омилро истифода кардаанд ва дар 13.37% ҳолатҳо ҳангоми бақайдгирии ҳисобҳои нав, таҳиягарон кӯшиш карданд, ки паролҳои вайроншударо, ки дар маълум буданд, дубора истифода баранд. ихроҷи парол. Ҳангоми баррасии амнияти парол, ба 12% ҳисобҳои NPM (13% бастаҳо) аз ҳисоби истифодаи паролҳои пешгӯинашаванда ва ночиз ба монанди “123456” дастрасӣ пайдо карданд. Дар байни мушкилот 4 ҳисоби корбарӣ аз Топ 20 бастаҳои маъмултарин, 13 ҳисоб бо бастаҳои зиёда аз 50 миллион бор дар як моҳ зеркашидашуда, 40 бо зиёда аз 10 миллион боргирӣ дар як моҳ ва 282 бо зиёда аз 1 миллион боргирӣ дар як моҳ буданд. Бо дарназардошти боркунии модулҳо қад-қади занҷири вобастагӣ, созиши ҳисобҳои беэътимод метавонад то 52% ҳамаи модулҳои NPM таъсир расонад.
Манбаъ: opennet.ru